Oracle เตือนช่องโหว่ใน Agile PLM Framework ถูกใช้ประโยชน์จริง

416/67 (IT) ประจำวันศุกร์ที่ 22 พฤศจิกายน 2567

Oracle ออกคำเตือนถึงผู้ใช้งานเกี่ยวกับช่องโหว่ด้านความปลอดภัยร้ายแรงที่พบใน Agile Product Lifecycle Management (PLM) Framework หมายเลข CVE-2024-21287 และมีคะแนนความรุนแรง (CVSS 7.5) ช่องโหว่นี้สามารถถูกใช้ประโยชน์จากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ ทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้    

ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงระบบเป้าหมายได้โดยไม่จำเป็นต้องใช้ชื่อผู้ใช้หรือรหัสผ่าน Oracle อธิบายในคำแนะนำว่า “หากสามารถใช้ช่องโหว่นี้โจมตีได้สำเร็จ ผู้โจมตีอาจดาวน์โหลดไฟล์ที่สามารถเข้าถึงได้ภายใต้สิทธิ์ของแอปพลิเคชัน PLM จากระบบเป้าหมาย” การโจมตีดังกล่าวอาจทำให้ไฟล์ที่มีข้อมูลสำคัญหลุดออกไปได้ โดยที่ระบบเป้าหมายไม่ได้ตระหนักถึงการบุกรุก ซึ่งนักวิจัยด้านความปลอดภัยจาก CrowdStrike อย่าง Joel Snape และ Lutz Wolf เป็นผู้ค้นพบและรายงานช่องโหว่นี้ โดย Oracle ได้มีความพยายามที่ช่วยในการแก้ไขปัญหาดังกล่าวโดยทันเวลา แต่อย่างไรก็ตาม ขณะนี้ยังไม่มีข้อมูลชัดเจนว่าการโจมตีดังกล่าวมีเป้าหมายใด หรือเกิดขึ้นในวงกว้างเพียงใด จึงแนะนำให้ผู้ดูแลระบบตรวจสอบเวอร์ชันซอฟต์แวร์ที่ใช้อยู่ และรีบดำเนินการติดตั้งแพตช์หรืออัปเดตระบบทันทีที่เป็นไปได้ การดำเนินการนี้จะช่วยลดความเสี่ยงจากการถูกโจมตี และปกป้องข้อมูลสำคัญในระบบจากผู้ไม่หวังดี

แหล่งข่าว https://thehackernews.com/2024/11/oracle-warns-of-agile-plm-vulnerability.html